Hack & Sec
10 Dicembre Dic 2017 1242 10 dicembre 2017

Privacy e ricerca scientifica: tra principi e diritti

  • ...

Con un intervento legislativo sul cui tempismo e opportunità ci sarebbe da discutere, il governo ha messo mano all’attuale normativa in materia di protezione dei dati. Si tratta di due modifiche, una legata alla figura del responsabile del trattamento, l’altra, quella che sta facendo molto discutere, ha introdotto l’articolo 110 bis in cui viene sottomessa alla decisione dell’Autorità Garante la possibilità di riutilizzare i dati, anche sensibili, per finalità di ricerca scientifica o scopi statistici. In particolare il dettato di legge parla dell’adozione di misure di “minimizzazione e anonimizzazione” e segnala come l’Autorità abbia 45 giorni di tempo per approvare la richiesta, trascorsi i quali essa dovrà ritenersi respinta. Sul tema si sono immediatamente creati due fronti opposti: da un lato chi afferma come la norma saboterà di fatto la ricerca, dall’altro quelli che parlano di “regalo” alle società farmaceutiche in barba alla privacy dei cittadini. Come spesso accade gli estremi sono probabilmente nel torto, ma qualche problema esiste. Premesso che l’ordinamento in materia è ampiamente regolamentato dalla nostra attuale normativa (per esempio è uno di quegli ambiti in cui esiste un codice deontologico) e in futuro lo sarà da quella europea, L’autorità Garante si troverà a dovere prendere decisioni molto difficili. In primo luogo rispetto a un’eventuale richiesta dovrà valutare il bilanciamento tra gli interessi del titolare e degli interessati. In questo giocherà un ruolo fondamentale la specifica finalità. Banalizziamo con un esempio. Vengono sottoposte due richieste in merito ai dati relativi alle abitudini alimentari: la prima ha come finalità la messa a punto di un farmaco contro la cellulite, la seconda un anti tumorale. Detta così sembra ovvio che la prima non vale la seconda, ma la scelta dell’Autorità potrebbe incidere sul diritto alla bellezza, per molti una questione di felicità, di milioni di persone, oltre che su quello alla vita. Entrambi dovranno essere messi sul piatto della bilancia rispetto alla privacy. Superato questo primo ostacolo sarà costretta a individuare delle misure idonee a tutela dei dati e questo renderà il lavoro estremamente complesso per almeno due motivi. Il primo è scegliere in quale misura applicare il “principio della minimizzazione” e quindi valutare quale sia la quantità minima di dati che permetta comunque il conseguimento delle finalità. Il secondo riguarda la tecnologia e il contesto in cui avverranno i trattamenti. Se torniamo al nostro esempio e immaginiamo che i richiedenti siano aziende farmaceutiche, l’Autorità dovrà avere evidenza di quali strumenti tecnologici saranno utilizzati. Ipotizziamo che si tratti di big data analytics, strumenti sofisticati e complessi, utili per scoprire schemi e relazioni nascoste tra i dati e, molto probabilmente, gestiti da una terza parte, un operatore come IBM o Google, magari in una soluzione in cloud computing. Ecco che la situazione si complica ulteriormente perché la finalità richiede che la catena dei soggetti coinvolti si allunghi, presentando un titolare e uno o più responsabili. Se fosse coinvolta una realtà come Google, l’Autorità dovrebbe valutare l’eventualità che i dati siano oggetto di trattamenti fuori dall’Unione e quali garanzie imporre a un operatore che dispone di basi dati immense. Non potrebbe trascurare come la normativa privacy del principale motore di ricerca recita che “i nostri sistemi automatizzati analizzano i contenuti dell'utente (incluse le email)…” e quanto siano evoluti i suoi sistemi di analisi. Soggetti di questo genere potrebbero ricostruire l’identità dell’interessato indipendentemente da qualsiasi forma di minimizzazione e la loro natura, di fatto sovrannazionale, potrebbe portare alla completa perdita di controllo sui dati. La situazione fa emergere uno dei peccati originali della norma attuale e anche di quella futura: non fanno alcuna distinzione tra il dato e l’informazione che sono trattati come sinonimi, con l’inevitabile conseguenza di rendere necessaria la continua valutazione del contesto in cui si svolgono i trattamenti per evitare clamorose topiche. Tutta l’enfasi viene posta sulla natura del dato stesso quindi sulla distinzione tra personali, sensibili, giudiziari, etc. che, nell’attuale contesto della società dell’informazione, risulta miope. Qualcuno può veramente pensare che la diffusione del livello di colesterolo di un cittadino possa violare i suoi diritti e le sue libertà più della pubblicazione su Internet della mailing list degli Alcolisti Anonimi in cui appare anche il suo indirizzo di posta elettronica?

In definitiva questo limite normativo rende utile, se non dovuto, l’intervento di valutazione dell’Autorità. certo il tempismo del legislatore non è stato dei migliori considerando che il Garante si trova alle prese con l’imminente applicabilità del Regolamento Europeo e di decisioni ne dovrà prendere già moltissime.

Correlati